認証プロセスのユーザビリティは「単独の credential で済む」という発想で解決するのか

河本孝之(Takayuki Kawamoto)

1st appeared: 2016-06-23 15:20:37.

みなさん普段利用しているパスワードは十分長く、ランダムかつサイト・サービス毎に異なるパスワードを設定していますか? はい、そんな事はほとんど不可能です。複数のランダムな文字列を人間の脳に記録するのは無理なので、ツールを使うしかありません。

パスワードレスなインターネット社会を作るにはPKIがひとつの解決方法ですがなかなか普及しません。 SSLクライアント認証を利用したWEBサービスがどれほどあるでしょうか? ITエンジニアが日常的に利用している非対称鍵認証はなぜ一般に利用されないのでしょうか?

Tsukasa Hamano, 「マイナンバーカードでSSHする」, https://www.osstech.co.jp/~hamano/posts/jpki-ssh/.

上記の引用は、マイナンバーカード(個人番号カード)の公的な個人認証という役割を実際にマシンへの接続に応用した事例を紹介している記事の一部です。僕はまだカードを持っていない(あまりに遅くて色々な手違いが起きており、正しいカードが発行されるのか不安があるため、申請すらしていません)ので試してみることはできませんが、この記事は応用事例を明快に説明していて、よい参考になります。

しかし、記事の後半では上記に引用したとおり、「パスワードレスな社会」というフレーズの闇雲な賞賛や、公開鍵基盤(PKI)に対する技術的あるいは使い勝手というアドバンテージだけを理由にした、パスワード認証に対するマウンティングのような議論が追加されています。昨今は生体認証の営業トークやステマとしてパスワード認証を「時代遅れ」だの「煩わしい」だの「脆弱」だのと言うだけでなく、こうした事案でもパスワード認証に対する安易な否定が出ており、いささか辟易してしまいます。

もちろん、パスワード認証という仕組みそのものが永続性の高い強固な認証方法だと言うつもりはありませんし、「認証」が何を意味するにせよ、そういうものが永続する保証もないと考えていますが(哲学に携わっている者なら当たり前の想定です)、表面的あるいは技術的な優位性や目新しさや気楽さといった基準だけで既存の認証方法を捨てて良いというわけでもないでしょう。特に、生体認証や(安易な運用方針の)PKI においては、とにもかくにも「単独の credential で済む」という発想を実現するだけで認証方法を刷新できるかのデタラメな営業トークや広告記事が、いわゆるメディアと呼ばれるサイトに続々と公表されています。しかし、本当にそんな発想だけで、会社のマシンに最高度のプライバシー情報である指紋や静脈パターンを(原則的には憲法違反の可能性もあるのに)登録させられたりしてよいものでしょうか。あるいは、何でもかんでもマイナンバーカードの公開鍵を使えばいいと言えるでしょうか。

情報セキュリティだけでなくシステム開発においては、どのような機器やサービスについてであれ、それらの処理プロセスや利用・運用手順を汎用性のある形式に置き換えて評価しなくてはなりません。サービスサイトの画面に AKB 某や萌えキャラやホストみたいな男の Flash コンテンツが埋め込まれて AV 同然の見栄えになっていようと、数学的あるいは形式的に馬鹿げた設計のシステムを使うべきではありません。いっときの使い勝手や楽しさで、愚かな人間がオンラインでのアイデンティティやオンライン・プライバシーといった個人情報や付帯情報といった資産を失うのは勝手ですが、他人にも気軽に勧めたり、それが「未来の認証方法」であるかのように煽ることは、無責任というだけでは済まないでしょう。

PKI においては、公開鍵を使って認証する際に、公開鍵の正当性を保証するための秘密鍵を生成します。認証の主体である本人が秘密鍵を生成したとか、本人と秘密鍵との対応を保証する第三者が何らかの正統性をもっているという前提があって、はじめて公開鍵は認証システムにおいて本人のものとしての正当性をもちます。この正当性を行政組織や他の企業が「本人確認」という手順を経て代行して保証するのが「認証局(CA: certification authority)」ですが、通常は本人の正当性を何度も種類を分けて保証したりはしません。僕は業務で PDF ファイルに電子署名を追加しています。この電子署名で僕自身を証明する証明書は、帝国データバンクと Symantec によって署名されています。しかし、PDF を作成するたびに異なる電子署名を使うわけではありません。したがって、PDF をどれほどたくさん作成しても、署名するときに必要な証明書は同じであり一つです。自分自身で署名した証明書を使う場合は(ビジネスでそんなものは使えませんが)、自分自身で証明書を作成するときに設定したパスワードを入力して PDF への署名が完了します。それも、使い分ける必要がなければ「一つの credential で済む」というわけです。PDF への署名という場合には、PDF の種類によって異なる署名を使っていたのでは、却って同じ人物の署名であることを別の方法で証明するか事情を説明しなければならないかもしれませんから(そのどれかが偽物ではないと証明しなくてはいけない)、一つの署名を使うほうが望ましいかもしれません。しかし、オンラインサービスにおいては、本人がアクセスしているサービスの事業者はそれぞれ異なるため、Google へログインするパスワードと Facebook へログインするパスワードが同じでなければ、誰かが「Google にログインしている人物」と「Facebook にログインしている人物」が同一かどうかに悩むなどということはありません。いや、そういうことに悩むのは、Google と Facebook での同一人物の挙動をトレースしたがっているマーケティング企業だけでしょう。(そもそも他人が自分と同じパスワードを登録しても問題ないのですから、パスワードの一致だけで人物を特定するのは馬鹿げていますが。)

というわけで、僕も GnuPG のユーザであり、PKI 自体に異論があるわけでもありませんが、PKI のアドバンテージを間違った仕方で宣伝するとマーケティング企業やプライバシー情報のブローカーを利するだけとなり、何か情報資産の事故や犯罪が起きると、逆に強力な FUD が起きて PKI の普及が後退するかもしれません。PKI は必要とされるべき強度のユースケースにおいて適正に普及し使えばよく、「パスワードレスな社会」などというファンタジーを持ちだして宣伝するべきものではないというのが僕の主張です。

更に、サービスごとに credentials を別に設定して使い分けるのが「煩雑」であることは明白な事実ですが、その良し悪しについてあまりにも多くの人が何の根拠もなく悪であると決めつけているように思われます。したがって、パスワード認証はユーザビリティという評価基準、しかも「管理が面倒臭い」という一点だけで多くの攻撃に晒されがちです。しかし、僕は「正しいことをやるには手間がかかる」という思想をもっているので、簡単にそのような発想が正しいとは信じられません。もちろん、僕はマッチョでもなければ精神論者でもなく、何か強い負担や試練がなければ何かを成し得ないなどという(「パスワードレスな社会」という発想と同じていどの)ファンタジーを信じてはいません。ですが、僕はスタンダートを提案したり技術的なアイデアを考案する人々の大多数は、確かに優れた人物であることは認めても、しょせんは「凡人」の延長だと思っています。したがって、そのていどに凡庸な人々の発想でものごとが今どき解決するのであれば、人類の歴史において強固な認証手順を求めるという課題は、もっと早く色々な提案が出てきていて当然ではなかったかという基本的な疑問があります。(つまり、富士通や NEC や俗称「拝承」(日立システムズ)の生体認証システムの技術者が「認証」という手続きの歴史を一新するような重大な発明をしたとは、失礼ながら到底思えないということです。)

認証プロセスのユーザビリティは、僕は今後も劇的に解決はしないと思っています。AI や機械学習やビッグデータといった(本来はもちろん或るていど正確に定義されているので違いますが、ビジネスにおいては)プラスチック・ワードと言いうる無意味なフレーズを振り回して、僕らのパーソナルデータさえ自由に使えたら認証は簡単になると脅すようなことを平気で言ってのけるチンピラ IT 企業はたくさんあります(もちろん Google, Facebook, Microsoft といった企業も「図体のデカいチンピラ」でしかありません。だからといって付き合うなとは言いませんし、僕自身も Google+ や Windows のユーザではあります)。しかし、そのようなことを簡単に受け入れる理由はありませんし、別のリスクを考えるとパスワード認証を使い続ける手間の方がマシとも言いうるでしょう。パスワード管理ソフトを使えば複雑で長大なパスワードを何万個でも管理できますし、使っているマシンへのウィルス感染に注意すれば、そういうソフトウェアから自動で認証情報を入力する機能もあります。これでいったい、何が面倒なのでしょうか。

このようなわけで、認証プロセスのユーザビリティは「単独の credential で済む」という発想で解決しはしませんし、そもそも認証プロセスのユーザビリティを高めるということだけを闇雲に重視して、他のリスクも考慮せずに、何か新しいだけのガラクタや危険なシステムと置き換えてしまうのは自殺行為だと言えるでしょう。

冒頭に戻る


※ 以下の SNS 共有ボタンは JavaScript を使っておらず、ボタンを押すまでは SNS サイトと全く通信しません。

Google+ Twitter Facebook


著者の簡単なプロフィール

河本孝之(かわもと・たかゆき / Takayuki Kawamoto)

大阪市内のベンチャー企業で Chief Privacy Officer(個人情報保護管理者)として、情報セキュリティにかかわるマネジメントや社内システム、ネットワーク全般の運用を担当。1968年、東京都目黒区生まれ。神戸大学大学院博士課程中退(科学哲学専攻)。日本科学哲学会所属。Twitter アカウントは @identifiable_me